Ecco che ci risiamo: Viber mobile messenger app lascia i dati degli utenti in chiaro
Viber, un’app di messaggeria mobile che permette agli utenti di fare telefonate e inviare messaggi di testo e immagini gratuitamente, dà anche un sacco di dati degli utenti a chiunque voglia ascoltare.
Secondo i ricercatori dell’Università di New Haven (UNH) nel Connecticut, Stati Uniti, l’app di Viber invia messaggi degli utenti in forma non criptata – comprese foto, video, scarabocchi e immagini di posizione.
Tutti questi ricchi dati degli utenti sono anche memorizzati in chiaro sui server di Viber, invece di essere cancellati immediatamente, e sono accessibili senza credenziali, solo un link, hanno detto i ricercatori UNH.
È il secondo abbaglio crittografico esposto dai ricercatori UNH in altrettante settimane – l’UNH Cyber Forensics Research & Education Group ha rivelato il 13 aprile 2014 che l’app di messaggistica WhatsApp dà anche i dati sulla posizione degli utenti in forma non criptata.
Utilizzando un PC Windows come punto di accesso Wi-Fi, il team UNH è stato in grado di catturare i dati inviati da uno smartphone Android con normali strumenti di sniffing del traffico, lo stesso approccio adottato da UNH nei loro esperimenti con WhatsApp.
In un video pubblicato sul sito UNH e YouTube, i ricercatori hanno dimostrato la cattura dei messaggi inviati tra due telefoni Android di prova.
I dati possono essere intercettati da punti di accesso avvelenati, da utenti malintenzionati sulla stessa rete Wi-Fi, o altrove nella rete tra voi e Viber.
Nel video, uno dei ricercatori ha detto che i messaggi non criptati possono anche essere recuperati dai server di Viber da chiunque conosca l’URL del messaggio:
I dati sono memorizzati sul server di Viber in modo non criptato. Non c’è nemmeno un metodo di autenticazione utilizzato, quindi chiunque abbia accesso a questi link può guardare questi dati, recuperare questi dati e fare quello che vuole con essi.
I ricercatori, il dottor Ibrahim Baggili e Jason Moore, hanno detto in un post sul blog che hanno segnalato la falla di sicurezza direttamente a Viber prima di pubblicare i loro risultati, ma non hanno “ricevuto una risposta da loro.”
In una dichiarazione a CNET, Viber ha detto che avrebbe rilasciato presto una correzione per Android e iOS, e ha detto che il problema è stato “risolto.”
Questo problema è già stato risolto. È attualmente in QA e la correzione sarà rilasciata per Android e presentata ad Apple lunedì. Ad oggi non siamo a conoscenza di un singolo utente che sia stato colpito da questo problema.
Il fatto è che una moderna app di messaggistica online non dovrebbe davvero “aggiustare” questo tipo di errore – la crittografia avrebbe dovuto essere inserita fin dall’inizio.
E per tutto ciò che Viber può aver “aggiustato” le sue app per scambiare dati in modo sicuro ora, non ha detto nulla riguardo all’affrontare le insicurezze che UNH ha trovato nella nuvola di Viber, dove vengono memorizzati i messaggi.
L’azienda elenca anche solo Android e iOS come aggiornate, lasciando gli utenti delle sue numerose altre piattaforme supportate al buio.
Questo include gli utenti di Viber sul desktop, attraverso l’ecosistema Bada di Samsung, sui vari sistemi operativi mobili di Microsoft e sui telefoni Blackberry e Nokia.
Con tutto questo in mente, l’affermazione di Viber che “non siamo a conoscenza di un singolo utente che è stato colpito da questo” suona molto vuota.
Dopotutto, la società non si è preoccupata di scusarsi per non aver individuato questi problemi nel proprio QA – e aver messo i suoi clienti a rischio inutilmente.
Applicazioni mobili deboli e privacy dei dati
Come sta diventando fin troppo comune con la nuova razza di applicazioni di messaggistica mobile – tra cui WhatsApp, di proprietà di Facebook, e l’applicazione di condivisione di foto e video Snapchat – la sicurezza e la privacy dei dati degli utenti sembra essere un ripensamento.
Anche se sia WhatsApp che Viber hanno detto che lavoreranno per correggere le loro sviste di crittografia, a volte queste giovani aziende hanno esibito un atteggiamento cavalleresco e sprezzante verso la privacy dei dati e la sicurezza.
Viber, fondata nel 2010, ha avuto un paio di altri incidenti di sicurezza nell’ultimo anno.
Nel luglio 2013, un ricercatore di sicurezza è riuscito a utilizzare le notifiche pop-up dell’applicazione Viber per bypassare la schermata di blocco su un dispositivo Android.
E nell’aprile 2013, la pagina di supporto di Viber è stata violata dal Syrian Electronic Army, anche se nessun dato utente è stato perso nell’attacco.
Il fondatore di WhatsApp, Jan Koum, ha notoriamente detto che “il rispetto per la tua privacy è codificato nel nostro DNA”, dopo che la sua azienda è stata acquistata da Facebook per 19 miliardi di dollari a marzo.
È un bel sentimento, ma WhatsApp ha fatto ripetuti errori di crittografia che hanno lasciato i dati degli utenti vulnerabili.
Un’altra app di messaggistica in rapida crescita, Snapchat, ha ignorato gli avvertimenti dei ricercatori di sicurezza che l’app permetteva ricerche illimitate dei numeri di telefono degli utenti – un difetto che ha portato un attaccante a scaricare 4,6 milioni di nomi utente e numeri di telefono online dopo che Snapchat ha liquidato l’attacco come “teorico”.”
Quando è stato chiesto di apparire volontariamente davanti a un’udienza del Congresso sulle violazioni dei dati, Snapchat ha rifiutato di testimoniare, portando un senatore degli Stati Uniti a dire che l’azienda stava “nascondendo qualcosa”
Che è ironico, dal momento che nascondere i dati degli utenti da occhi indiscreti non sembra essere uno dei punti di forza dell’azienda.
Nonostante le promesse fatte agli utenti che i loro messaggi privati sarebbero “scomparsi per sempre”, Snapchat ha riconosciuto che gli Snaps degli utenti non vengono cancellati subito dai loro server o dai telefoni degli utenti.
Queste popolari applicazioni di messaggistica possono essere gratuite, ma a un costo per la privacy per le loro centinaia di milioni di utenti.